| |

Kada AI napravi grešku, ko snosi posledice? Pravni vakuum, EU regulativa i rizici za srpske kompanije

NapisaoNaumović i partneri
Ko je odgovoran kada AI napravi grešku? Pravni vakuum, EU regulativa i šta to znači za srpske kompanije

Zamislite sledeću situaciju: softverska kompanija implementira AI sistem koji automatski procenjuje kreditnu sposobnost klijenata. Algoritam napravi grešku – pogrešno odbija zahtev nekome ko je potpuno kreditno sposoban i time mu nanosi stvarnu štetu. Pitanje je jednostavno: ko odgovara? Odgovor – u postojećem pravnom okviru i dalje nije jasan.

Problem

Zašto postojeće pravo ne funkcioniše?

Ovo je možda najvažnije otvoreno pitanje u AI pravu danas. Tradicionalna pravila o odgovornosti – kako u srpskom, tako i u evropskom pravu – polaze od jednostavne logike: ko nanese štetu, taj je odgovoran, osim ako dokaže da nije kriv. Kod AI sistema, ovaj model se raspada na tri nivoa.

Prvo, tu je problem lanca odgovornosti. Između programera koji je napravio model, kompanije koja ga je implementirala i krajnjeg korisnika – svako pokazuje na drugog. Nema jasne tačke gde odgovornost počinje i završava.

Drugo, tu je problem uzročnosti. Da bi se dobila naknada štete, oštećeni mora da dokaže uzročnu vezu između čina i štete. Kod AI „crnih kutija” – sistema koji donose odluke na osnovu miliona parametara – ovo je praktično nemoguće bez pristupa tehničkoj dokumentaciji.

Treće, tu je problem transparentnosti. Zašto je algoritam doneo određenu odluku? Odgovor na ovo pitanje zahteva uvid u sam sistem – što developeri retko dobrovoljno dele. Upravo zato evropski pristup insistira na dokumentaciji, logovima i objašnjivosti bar za visokorizične sisteme – jer bez toga nema ni odgovornosti, ni efikasne zaštite oštećenih.

Ključni problem

Zakon o obligacionim odnosima Srbije i dalje je osnova za odštetne zahteve u ovoj oblasti – ali on svakako nije imao AI na umu 1978. godine. Po režimu odgovornosti zasnovanom na krivici, oštećeni mora da dokaže krivicu konkretnog lica. Ovo je strukturno nespojivo sa načinom na koji AI sistemi funkcionišu.

To ne znači da se ZOO ne može primeniti na AI sporove, već da u praksi teret dokazivanja krivice i uzročnosti postaje gotovo nesavladiv za oštećenog, naročito bez pristupa tehničkoj dokumentaciji i kodu. Postoje i pokušaji da se AI podvede pod režime objektivne odgovornosti (na primer kao opasna stvar ili opasna delatnost), ali sudska praksa u Srbiji u ovoj oblasti trenutno praktično ne postoji.

EU regulativa

Šta se dešava na nivou EU – i zašto je to direktno važno

EU AI Act (Uredba 2024/1689) na snazi je od avgusta 2024. Ovaj zakon uvodi hijerarhiju rizika: od zabranjenih sistema (na primer masovni biometrijski nadzor) do visoko-rizičnih sistema (autonomna vozila, medicinska dijagnostika, kreditna procena) i sistema ograničenog rizika (chatbotovi). Pored toga, postoji i kategorija sistema minimalnog rizika (na primer spam filteri), koji su praktično slobodni od posebnih obaveza. Za visoko-rizične sisteme obaveze postaju u punoj snazi u avgustu 2026.

Ali AI Act je pre svega regulatorni zakon – govori šta smeš i šta ne smeš, pod kojim uslovima i uz koju dokumentaciju. Direktno ne odgovara na pitanje ko plaća štetu žrtvi.

Zato je EU 2022. predložila posebnu AI Liability Directive (AILD). U februaru 2025. Evropska komisija je povukla predlog AILD iz svog programa rada, navodeći pritisak industrije, potrebu za pojednostavljenjem i nedostatak konsenzusa, ali je ostavila mogućnost da u budućnosti predloži novi model odgovornosti za AI. Evropski parlament ipak nastavlja rad na ovom pitanju – u odborima koji se bave pravosuđem i unutrašnjim tržištem vodi se politička borba da se pravila odgovornosti za AI ne sklone potpuno sa stola, uz ocene da je direktiva u ovoj formi možda preuranjena, ali da sama tema nije ni suvišna ni završena.

Važno za Srbiju

Srbija trenutno nema poseban zakon koji uređuje AI. Iskustvo sa GDPR-om jasno pokazuje obrazac: srpski Zakon o zaštiti podataka o ličnosti praktično prati EU regulativu. Gotovo je izvesno da će EU AI Act oblikovati budući srpski zakon o veštačkoj inteligenciji – što znači da kompanije koje se već usklađuju sa EU standardima grade kompetitivnu i pravnu prednost.

Već danas, kompanije koje uvode visokorizne AI sisteme teško mogu da izbegnu obavezu procene uticaja na zaštitu podataka (DPIA) i usklađivanje sa pravilima o profilisanju i automatizovanom odlučivanju u domaćem zakonu o zaštiti podataka. Pored toga, ne treba zanemariti ni sektorske propise – u bankarstvu, zdravstvu i saobraćaju – koji već sada postavljaju ograničenja i standarde za automatizovano odlučivanje.

Praktični ugao

Tri scenarija koja se već dešavaju

Pravni vakuum nije teorijski. Evo tri situacije u kojima se srpske kompanije već danas mogu naći – bez jasnog i predvidivog pravnog odgovora:

  1. AI halucinacija u pružanju usluga
    Pravni chatbot ili sistem za automatizovano savetovanje daje klijentu pogrešan pravni savet. Šteta nastaje. Ko odgovara: kompanija koja je razvila sistem, ili ona koja ga je implementirala u svom servisu? Ugovorni odnos između firme i klijenta najčešće će biti prirodan osnov zahteva – klijent će ići na onoga sa kim ima ugovor – ali lanac odgovornosti i regres prema developeru ostaju nejasni i zavise od konkretnih ugovornih klauzula između firme i dobavljača.
  2. Automatizovana kreditna procena
    Banka ili fintech kompanija koristi AI za procenu rizika. Sistem diskriminiše određenu grupu klijenata na osnovu pristranog skupa podataka za obuku. Kreditni scoring je eksplicitno prepoznat kao visokorizični slučaj pod EU AI Act logikom i zahteva posebnu dokumentaciju, nadzor i mere protiv diskriminacije. Pod srpskim pravom danas – odgovornost je i dalje nejasna, posebno u pogledu dokazivanja diskriminacije, uzročnosti i toga ko je u lancu zaista pogrešio.
  3. Medicinska dijagnostika i autonomna vozila
    AI sistem u medicinskoj dijagnostici greši i lekar donosi odluku na osnovu pogrešnog predloga sistema. Ko snosi odgovornost – lekar, bolnica ili developer? Isti princip važi za autonomna vozila: šteta nastane, ali uzrok leži duboko u arhitekturi sistema i skupu podataka. U praksi će se sve više govoriti o “podeljenoj odgovornosti” između lekara, bolnice, proizvođača uređaja, developera softvera i osiguravača – ali jasna pravila kod nas tek treba da nastanu, kroz propise i sudsku praksu.

Jedan način da se na ovo gleda jeste kroz tri pitanja za svaku situaciju:

  • Ko ima ugovor sa oštećenim?
  • Ko kontroliše AI sistem u trenutku donošenja odluke?
  • Ko ima pristup dokumentaciji potrebnoj da se dokaže greška?

Preporuka

Šta kompanije treba da urade sada?

Čekanje na zakonodavca nije strategija. Kompanije koje danas implementiraju ili razvijaju AI sisteme mogu – i treba da – preduzmu sledeće korake:

  • Mapirati sve AI sisteme u upotrebi i proceniti kojoj kategoriji rizika po EU AI Act logici pripadaju – ne samo “AI proizvode” koje same razvijaju, već i AI funkcije integrisane u CRM, HR alate, cloud servise i druge postojeće softvere.
  • Uspostaviti interne politike i dokumentaciju o načinu korišćenja AI sistema – ko sme šta da koristi, u kojim procesima, uz koje kontrole i kakvo interno odobravanje.
  • Pregledati ugovore sa dobavljačima AI rešenja – ko snosi odgovornost u slučaju greške? Treba eksplicitno adresirati odgovornost za tačnost i ažurnost modela, obavezu saradnje pri incidentima, pristup logovima i tehničkoj dokumentaciji, kao i ograničenja odgovornosti i osiguranje.
  • Uvesti mehanizme za nadzor nad AI odlukama, posebno u visoko-rizičnim domenima – od ljudskog nadzora (human-in-the-loop) do periodičnih revizija modela i praćenja performansi, uključujući bias i diskriminaciju.
  • Pratiti razvoj srpskog zakonodavstva i biti spreman na brzu harmonizaciju – jer će se u jednom trenutku “meko usklađivanje” sa EU standardima vrlo brzo pretvoriti u formalnu obavezu.
  • Za kompanije koje ciljaju investitore ili potencijalnu prodaju, usklađenost sa AI Act logikom već danas postaje bitan element pravnog i tehnološkog due diligence-a – jednako kao što su to postali GDPR i informaciona bezbednost.

Zaključak

Pravni vakuum u oblasti AI odgovornosti je realan i traje. Ali to ne znači da su kompanije bez opcija. Strateško usklađivanje sa EU AI Act logikom danas nije samo pravna predostrožnost – to je investicija u poverenje klijenata, pristup EU tržištu i dugoročnu pravnu sigurnost. Pravo prati tehnologiju sporije nego što bismo hteli, ali je na kraju uvek sustigne – pitanje je samo da li će kompanije dočekati taj trenutak spremne ili zatečene.

Potreban vam je pravni savet?

Zakažite konsultacije>

Za više pravnih informacija zapratite nas na:

Poslednji tekstovi